Hej   Jette  

Genstart til fejlsikret tilstand med netværk.

Se så om du kan gennemføre nedenstående, ellers hent dem til et extern drev, og læg dem så ind på den “dårlige” computer.

Hent og installer Ccleaner: Her
Klik på Download Latest Version

Fjern flueben ved -  Installer Yahoo toolbar

Når du åbner programmet for første gang, vil der være flueben i alle felter.
Hvis du ønsker at bevare cookies, kan du fjerne dette flueben.

Klik på Kør Cleaner, for at få renset din computer.

Du vil nu få en advarsel, om at disse filer slettes fuldstændigt fra dit system, og om du ønsker at fortsætte. Klik på Ok for at svare ja til det. Sæt flueben ved ->  Vis mig ikke denne besked igen.

Hent Malwarebytes Anti-Malware:
Her
Installer programmet - NB, du skal sørge for at der er et flueben placeret ved siden af Update Malwarebytes ‘Anti-Malware og Launch Malwarebytes’ Anti-Malware, og klik derefter på Udfør. .
Herefter åbner et vindue, hvor du skal flytte prikken til “Kør et fuldstændigt systemscan” - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på “Vis resultater” knappen efter scanningen - og herefter tryk på “Fjern det valgte” - nu åbnes log’en og du skal gemme den et sted, hvor du kan finde den igen.

NB Hvis Malwarebytes Anti-Malware vil genstarte computeren for at fuldføre rensningen så lad den genstarte.

Hent nyeste version af HijackThis ned til skrivebordet:
Her
2. Dobbeltklik på installationsfilen, og følg installationsvejledningen.
3. Dobbeltklik på det nye HijackThis ikon på skrivebordet.
4. På menuen der kommer op, klikker du på: Do a systemscan and save a logfile.
5. Efter et kort øjeblik åbner en logfil i notesblok, gem den.
5. Sådan kopieres loggen ind i et spørgsmål:
Mens loggen er åben, markeres al teksten med tastekombinationen CTRL + A.
For at kopiere den markerede tekst bruges tastekombinationen CTRL + C, som ”fastgør” det i udklipsholderen i Windows. Gå så ind i dit spørgsmål og klik på kommentér knappen. Her indsættes det kopierede i det hvide felt med tastekombinationen CTRL + V.

Send så hijackthis loggen herind, sammen med malwarebyte loggen.

Hejsa

Så er alt kørt, som I sagde. Malmwareen fandt 8 inficerede filer, men anbefalede kun at fjerne en!?
Her er loggen fra Malmware. Jeg kan ikke få lov til at installere Hijack på min søns pc, den siger at der er problemer med windows installer og jeg skal kontakte supportafdelingen for at få hjælp. Der har aldrig været problemer med installeringen af programmer….
Kh Jette

Jeg kunne ikke få pc’en til at starte i fejlsikret tilstand før jeg skrev msconfig.exe og bad den gøre det. Så kørte jeg ccleaner og malmware, i fejlsikret tilstand, og det gik fint, og pc’en skulle så genstarte og da jeg så ikke kunne installere Hijack, i fejlsikret tilstand, ændrede jeg “tilstanden” til normal, men det ændrede så ikke på at jeg kunne få lov til at installere HiJack? Jette

Ok. Så prøver vi noget andet.

Hent Combofix, og gem den på dit skrivebord:
Her

Vigtigt-> Deaktiver dit antivirus/antispyware program. Da det/de kan ”forstyrre” og konflikte med combofix, eller fjerne vigtige combofix filer, hvilket kan få computeren til fryse. 

Kør så combofix.exe, og følg anvisningerne.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

Den kan også findes her - > C: combofix txt

NB ->

men det ændrede så ikke på at jeg kunne få lov til at installere HiJack?

Prøv at højreklik på filen - kør som admin.

Hvis det lykkedes, så send hjt loggen herind sammen med combofix loggen.

Hejsa
Jeg kan ikke installere Hijack, og når jeg højreklikker, får jeg ikke muligheden for at køre den som administrator. Så derfor er det kun loggen fra Combofix der er med her.
Sender loggen af 2 omgange.

Kh Jette

Hej igen

Her er anden del af loggen….

Kh Jette

Orv, de blev store  

Kopiér indholdet mellem de bølgede linier ind i et notepad/notesblok-vindue, og gem indholdet i samme mappe, som Combofix ligger med navnet CFScript.

~~~~~~~~~~~~~~~~~~~~~~~~~~

Snapshot::
Folder::
c:\progra~2\IMESHA~1\MediaBar

~~~~~~~~~~~~~~~~~~~~~~~~~~
Tag så fat i den CFScript filen med musen, og før den hen over Combofix-filen, hvorefter du “giver slip” med musen, som vist her ->
http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Send så en ny combofix log herind. Den kan findes her - C:\combofix

Ja, den blev stor….   men jeg kan ikke lige finde ud af, hvad du mener med de bølgede linier, og vil nødig kopiere det forkerte ind…. 

Hej igen… Fik lige gang i de grå hjerneceller… kopier Snapshot::
Folder::
c:\progra~2\IMESHA~1\MediaBar ind…. hihi

Kan det passe, at den prøver at danne et nyt gendannelsespunkt, når jeg har trukket CFScript, ind over filen?

Kan det passe, at den prøver at danne et nyt gendannelsespunkt, når jeg har trukket CFScript, ind over filen?

Jep, det er korrekt    

Hejsa

Her er den nye combofix-log. Den er noget mindre, end den forrige….
Kh Jette

ComboFix 11-12-19.01 - tobias 20-12-2011 14:00:09.3.8 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.45.1030.18.4062.3309 [GMT 1:00]
Kører fra: c:\users\tobias\Desktop\ComboFix.exe
Kommandoer benyttet :: E:\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Dannede nyt systemgendannelsespunkt
.
.
(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\progra~2\IMESHA~1\MediaBar
c:\progra~2\IMESHA~1\MediaBar\Datamngr\datamngr.dll
c:\progra~2\IMESHA~1\MediaBar\Datamngr\datamngrUI.exe
c:\progra~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll
c:\progra~2\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll
c:\progra~2\IMESHA~1\MediaBar\Datamngr\x64\datamngrUI.exe
c:\progra~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll
.
.
(((((((((((((((((((((((((((((  Filer skabt fra 2011-11-20 til 2011-12-20 )))))))))))))))))))))))))))))))))))
.
.
2011-12-20 13:05 . 2011-12-20 13:05   ————  d——-w-  c:\users\Public\AppData\Local\temp
2011-12-20 13:05 . 2011-12-20 13:05   ————  d——-w-  c:\users\Default\AppData\Local\temp
2011-12-19 13:41 . 2011-12-19 13:41   ————  d——-w-  c:\program files (x86)\Malwarebytes’ Anti-Malware
2011-12-19 12:22 . 2011-12-19 13:21   ————  d——-w-  c:\program files\CCleaner
2011-12-18 18:15 . 2011-11-21 11:40   8822856   ——a-w-  c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{D114D150-2830-4C88-830C-97A36880F2E1}\mpengine.dll
2011-12-14 23:39 . 2011-11-04 01:53   2309120   ——a-w-  c:\windows\system32\jscript9.dll
2011-12-14 23:39 . 2011-11-04 01:48   887296   ——a-w-  c:\program files\Internet Explorer\iedvtool.dll
2011-12-14 23:39 . 2011-11-04 01:44   1493504   ——a-w-  c:\windows\system32\inetcpl.cpl
2011-12-14 23:39 . 2011-11-03 22:47   1798144   ——a-w-  c:\windows\SysWow64\jscript9.dll
2011-12-14 23:39 . 2011-11-03 22:42   678912   ——a-w-  c:\program files (x86)\Internet Explorer\iedvtool.dll
2011-12-14 20:05 . 2011-10-26 05:21   43520   ——a-w-  c:\windows\system32\csrsrv.dll
2011-12-14 20:05 . 2011-11-24 04:52   3145216   ——a-w-  c:\windows\system32\win32k.sys
2011-12-14 20:05 . 2011-10-15 06:31   723456   ——a-w-  c:\windows\system32\EncDec.dll
2011-12-14 20:05 . 2011-10-15 05:38   534528   ——a-w-  c:\windows\SysWow64\EncDec.dll
2011-12-14 20:05 . 2011-11-05 05:32   2048   ——a-w-  c:\windows\system32\tzres.dll
2011-12-14 20:05 . 2011-11-05 04:26   2048   ——a-w-  c:\windows\SysWow64\tzres.dll
2011-12-10 18:21 . 2011-12-19 13:27   ————  d——-w-  c:\users\tobias\AppData\Roaming\Ventrilo
2011-12-10 18:20 . 2011-12-10 18:20   ————  d——-w-  c:\program files\Ventrilo
2011-12-10 13:16 . 2011-12-10 13:16   ————  d——-w-  c:\windows\system32\Macromed
2011-12-10 13:11 . 2011-12-10 13:11   ————  d——-w-  C:\found.000
.
.
.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-10 13:17 . 2011-06-03 19:44   414368   ——a-w-  c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-11-21 11:40 . 2011-10-09 01:04   8822856   ——a-w-  c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-10-11 02:52 . 2011-10-11 02:52   917840   ———w-  c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{103D437C-6949-4234-AF79-834692C722A9}\gapaengine.dll
2011-10-08 16:40 . 2011-10-11 02:53   601424   ———w-  c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2011-09-29 16:29 . 2011-11-11 12:07   1923952   ——a-w-  c:\windows\system32\drivers\tcpip.sys
2011-09-22 20:27 . 2010-12-27 18:15   270856   ——a-w-  c:\windows\SysWow64\PnkBstrB.xtr
2011-09-22 20:27 . 2010-12-25 13:31   270856   ——a-w-  c:\windows\SysWow64\PnkBstrB.exe
2011-09-22 20:26 . 2010-12-25 13:31   218496   ——a-w-  c:\windows\SysWow64\PnkBstrB.ex0
.
.
(((((((((((((((((((((((((((((((((((  Start steder i reg.basen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
“{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}”= “c:\program files (x86)\Softonic-Eng7\tbSoft.dll” [2010-11-13 3913000]
“{dd02a4eb-4afd-4d60-99d8-e67f964ca813}”= “c:\program files (x86)\PHPNukeEN\prxtbPHPN.dll” [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}]
.
[HKEY_CLASSES_ROOT\clsid\{dd02a4eb-4afd-4d60-99d8-e67f964ca813}]
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}]
2010-11-13 20:58   3913000   ——a-w-  c:\program files (x86)\Softonic-Eng7\tbSoft.dll
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{dd02a4eb-4afd-4d60-99d8-e67f964ca813}]
2011-01-17 14:54   175912   ——a-w-  c:\program files (x86)\PHPNukeEN\prxtbPHPN.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
“{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}”= “c:\program files (x86)\Softonic-Eng7\tbSoft.dll” [2010-11-13 3913000]
“{dd02a4eb-4afd-4d60-99d8-e67f964ca813}”= “c:\program files (x86)\PHPNukeEN\prxtbPHPN.dll” [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}]
.
[HKEY_CLASSES_ROOT\clsid\{dd02a4eb-4afd-4d60-99d8-e67f964ca813}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“ConsentPromptBehaviorAdmin”= 0 (0x0)
“ConsentPromptBehaviorUser”= 3 (0x3)
“EnableLUA”= 0 (0x0)
“EnableUIADesktopToggle”= 0 (0x0)
“PromptOnSecureDesktop”= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages   REG_MULTI_SZ     kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@=“Service”
.
R3 BCMH43XX;Broadcom 802.11 USB Network Adapter Driver;c:\windows\system32\DRIVERS\bcmwlhigh664.sys [x]
R3 BdProcMon;BullGuard process creation monitor;c:\users\tobias\AppData\Local\Temp\BdProcMon.sys [x]
R3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.SYS [x]
R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\System32\drivers\CTEXFIFX.SYS [x]
R3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.SYS [x]
R3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.SYS [x]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [x]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 RTL8167;Realtek 8167 NT-driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 27136]
R4 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R4 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R4 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2010-12-03 79360]
R4 gupdate;Tjenesten Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-13 136176]
R4 gupdatem;Google Update Tjeneste (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-13 136176]
R4 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2011-08-04 2329480]
R4 HiPatchService;Hi-Rez Studios Authenticate and Update Service;c:\program files (x86)\Hi-Rez Studios\HiPatchService.exe [2011-04-21 23680]
R4 NisSrv;Microsoft Network Inspection;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
R4 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-10-16 369256]
R4 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2010-12-07 2228008]
R4 WatAdminSvc;Tjenesten Windows Aktivering;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
R4 WSWNDA3100;WSWNDA3100;c:\program files (x86)\NETGEAR\WNDA3100v2\WifiSvc.exe [2009-11-04 278528]
S0 SCMNdisP;General NDIS Protocol Driver;c:\windows\system32\DRIVERS\scmndisp.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\System32\drivers\CT20XUT.SYS [x]
S3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\System32\drivers\CTHWIUT.SYS [x]
S3 ha20x22k;Creative 20X2 HAL Driver;c:\windows\system32\drivers\ha20x22k.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 LADF_DHP2;G35 DHP2 Filter Driver;c:\windows\system32\DRIVERS\ladfDHP2amd64.sys [x]
S3 LADF_SBVM;G35 SBVM Filter Driver;c:\windows\system32\DRIVERS\ladfSBVMamd64.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
S3 RzSynapse;Razer Driver;c:\windows\system32\DRIVERS\RzSynapse.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai   REG_MULTI_SZ     Akamai
.
Indhold af mappen ‘Planlagte Opgaver’
.
2011-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-13 15:47]
.
2011-12-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-12-13 15:47]
.
2011-12-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-596018220-1654024116-3370456143-1000Core.job
- c:\users\tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2010-12-27 02:30]
.
2011-12-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-596018220-1654024116-3370456143-1000UA.job
- c:\users\tobias\AppData\Local\Google\Update\GoogleUpdate.exe [2010-12-27 02:30]
.
.
————- x86-64—————-
.
.
———- Yderligere scanning———-
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.dk/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki ... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Translate this web page with Babylon - c:\program files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
TCP: DhcpNameServer = 192.168.1.1
.
- - - - TOMME GENVEJE FJERNET - - - -
.
BHO-{474597C5-AB09-49d6-A4D5-2E8D7341384E} - c:\progra~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll
Toolbar-10 - (no file)
BHO-{474597C5-AB09-49d6-A4D5-2E8D7341384E} - c:\progra~2\IMESHA~1\MediaBar\Datamngr\x64\IEBHO.dll
WebBrowser-{414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - (no file)
WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\Akamai]
“ServiceDll”=“c:\program files (x86)\common files\akamai/netsession_win_b427739.dll”
.
——————————- LÅSTE REGISTRERINGS NØGLER——————————-
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@=“FlashBroker”
“LocalizedString”=”@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
“Enabled”=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@=“c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@=“Shockwave Flash Object”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@=“c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx”
“ThreadingModel”=“Apartment”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@=“0”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@=“ShockwaveFlash.ShockwaveFlash.10”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@=“c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@=”{D27CDB6B-AE6D-11cf-96B8-444553540000}”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@=“1.0”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@=“ShockwaveFlash.ShockwaveFlash”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@=“Macromedia Flash Factory Object”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@=“c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx”
“ThreadingModel”=“Apartment”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@=“FlashFactory.FlashFactory.1”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@=“c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@=”{D27CDB6B-AE6D-11cf-96B8-444553540000}”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@=“1.0”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@=“FlashFactory.FlashFactory”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@=“IFlashBroker4”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@=”{00020424-0000-0000-C000-000000000046}”
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}”
“Version”=“1.0”
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
————————————Andre kørende processer————————————
.
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Gennemført tid: 2011-12-20 14:10:30 - maskinen blev genstartet
ComboFix-quarantined-files.txt 2011-12-20 13:10
ComboFix2.txt 2011-12-19 17:25
ComboFix3.txt 2011-05-24 18:10
.
Pre-Kørsel: 1.738.459.037.696 byte ledig
Post-Kørsel: 1.738.336.444.416 byte ledig
.
- - End Of File - - B44F7542D6C269442E30A88E86B7B0DD

Det gik så godt med sidste vejledning  

Så lad os prøve igen….....

Kopiér indholdet mellem de bølgede linier ind i et notepad/notesblok-vindue, og gem indholdet i samme mappe, som Combofix ligger med navnet CFScript.

~~~~~~~~~~~~~~~~~~~~~~~~~~

Snapshot::
Driver::
BdProcMon
gupdate
gupdatem
Registry::
[-HKEY_CLASSES_ROOT\clsid\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}]
[-HKEY_CLASSES_ROOT\clsid\{dd02a4eb-4afd-4d60-99d8-e67f964ca813}]
[-HKEY_CLASSES_ROOT\clsid\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}]
[-HKEY_CLASSES_ROOT\clsid\{dd02a4eb-4afd-4d60-99d8-e67f964ca813}]

~~~~~~~~~~~~~~~~~~~~~~~~~~
Tag så fat i den CFScript filen med musen, og før den hen over Combofix-filen, hvorefter du “giver slip” med musen, som vist her ->
http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Send så en ny combofix log herind. Den kan findes her - C:\combofix

Hej igen igen
Her er loggen fra combofix
Kh Jette

Det ser godt nok ud. Hvordan opfører computeren sig nu ?